不剁手也吃土？可能是挖矿木马掏空你的钱包

不过这并不代表针对PC的挖矿木马可以被忽视。针对PC的挖矿木马家族OnesystemCareMiner、HiddenPowerShellMiner、飞熊矿业等家族仍然在活跃中。图7展示了针对PC的挖矿木马的主要传播渠道分布，其中网页挂马和破解软件是这类挖矿木马最为常见的传播渠道。

针对PC的挖矿木马主要传播渠道分布

挖矿家族竞争激烈

在针对Windows服务器的挖矿木马家族中，具有僵尸网络性质的家族控制较多的设备，而不具备僵尸网络性质的家族只能在每次新的漏洞POC公开之后的一段时间发起一次或几次攻击，一旦攻击成功就植入挖矿木马，并不尝试对受害计算机进行持续控制，因此这类家族控制的资源较少。此外，不具有僵尸网络性质的挖矿木马家族数量要远大于具有僵尸网络性质的挖矿木马，因此每个家族能够瓜分到的资源更是少的可怜。

挖矿木马家族性质以及占用资源分布

如上图所示，具有僵尸网络性质的挖矿木马家族占据了85%的资源，这是不具有僵尸网络性质的挖矿木马家族的将近6倍之多，而这些资源只掌握在WannaMine、Mykings等几个家族手中。而另一边则呈现出了另一种场景——15%左右的资源被数十个家族瓜分，这也加剧了家族之间的竞争。

在这种恶劣的竞争环境下，挖矿木马家族就需要一些特殊的技能让自己生存下来。“8220”组织就是具备这类技能的家族，除了在攻击代码中增加对抗其他挖矿家族的模块之外，“8220”组织还会时刻记录被入侵的机器信息以便在挖矿程序被安全软件或者被其他挖矿家族清除之后能够第一时间再次入侵机器植入挖矿木马。

这里有一组有趣的数据，如图所示，在“8220”家族在5月初更新载荷下载URL前后(图中红框所标出的条目)，其入侵成功的计算机数量几乎不变，可见“8220”家族虽然不具有僵尸网络性质，但其仍然能将受害机器控制在手中。

“8220”挖矿木马家族5月初更新前后入侵计算机数量对比

随着漏洞利用的“小白化”，将会有更多攻击者加入这场资源争夺战中，不过资源只留给有准备的人，大多攻击者会渐渐消失在这个舞台上。

横向渗透是Mimikatz和“永恒之蓝”的天下

对于具有横向渗透功能的挖矿木马家族，Mimikatz和“永恒之蓝”漏洞几乎是所有这类家族所使用的武器。这些家族中将近70%的家族带有“永恒之蓝”传播模块，30%的家族带有Mimikatz横向渗透模块，如图所示。

使用Mimikatz和“永恒之蓝”漏洞进行横向渗透的家族比例

当然，这两款横向渗透利器不仅仅在挖矿木马家族中受欢迎，在其他攻击领域也被广泛使用，主要原因还是在于其功能强大并且操作简单，无论是对于新手还是对于专业黑产人员都是极其友好的。

最后，说了这么多挖矿木马趋势，有没有什么防护建议?

Windows服务器挖矿木马防护建议：

• 及时为系统打补丁。避免漏洞攻击;
• 及时更新Web服务端、数据库等对外开放服务的应用到最新版本，避免漏洞攻击;
• 使用强度高的Windows登录密码以及Web应用、数据库登录密码，防御弱口令爆破攻击;
• 安装杀软软件或服务器安全软件防御挖矿木马攻击。

PC挖矿木马防护建议：

• 及时为系统打补丁。避免漏洞攻击;
• 不打开来历不明的文档，以及带有图片、文件夹、文档、音视频等图标的文件;
• 不浏览被安全软件提示为恶意的站点;
• 不安装来历不明的软件、外挂等，不打开被安全软件标记为恶意的文件;
• 安装杀毒软件防御挖矿木马攻击。

【编辑推荐】

1. Safari信息泄露漏洞分析
2. T级攻击态势下解析DDOS高防IP系统架构
3. 从物理到心理 从经济到声誉：网络攻击的57个负面影响
4. 果真是一分钱一分货！看看廉价的家庭报警系统是如何被攻击的
5. 三大方法保护Hadoop集群免遭攻击！

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!